マイクロソフト、5月の更新プログラム公開 - 5件の脆弱性は悪用報告あり

Microsoftは5月13日(米国時間)、「2025 年 5 月のセキュリティ更新プログラム (月例)｜MSRC Blog｜Microsoft Security Response Center」において、複数の製品の脆弱性に対処する2025年5月のセキュリティ更新プログラムをリリースした。

修正された脆弱性は78件に上り、すでに攻撃への悪用が確認されている脆弱性も5件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受けたりする危険性がある。

2025 年 5 月のセキュリティ更新プログラム (月例)｜MSRC Blog｜Microsoft Security Response Center

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

悪用が確認されている5件の脆弱性と5件の重大な脆弱性

修正された脆弱性のうち、すでに悪用が確認されている脆弱性は次のとおり。

CVE-2025-30397 - Microsoft Scripting Engineに型の混同の脆弱性。リモートの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.5)
CVE-2025-30400 - Windows DWMに解放後使用(UAF: use-after-free)の脆弱性。認証されたローカルの攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)
CVE-2025-32701 - Windows Common Log File System Driverに解放後使用の脆弱性。認証されたローカルの攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)
CVE-2025-32706 - Windows Common Log File System Driverに不適切な入力検証の脆弱性。認証されたローカルの攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)
CVE-2025-32709 - Windows Ancillary Function Driver for WinSockに解放後使用の脆弱性。認証されたローカルの攻撃者は特権昇格の可能性がある(CVSSスコア: 7.8)

悪用は確認されていないものの、深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

CVE-2025-29813 - Azure DevOpsに認証バイパスの脆弱性。認証されていないリモートの攻撃者は特権昇格の可能性がある(CVSSスコア: 10.0)
CVE-2025-29827 - Azure Automationに不適切な権限付与の脆弱性。認証されたリモートの攻撃者は特権昇格の可能性がある(CVSSスコア: 9.9)
CVE-2025-29972 - Azure Storage Resource Providerにサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。認証されたリモートの攻撃者は、スプーフィングできる可能性がある(CVSSスコア: 9.9)
CVE-2025-30387 - Azureにパストラバーサルの脆弱性。認証されていないリモートの攻撃者は特権昇格の可能性がある(CVSSスコア: 9.8)
CVE-2025-47733 - Microsoft Power Appsにサーバーサイドリクエストフォージェリーの脆弱性。認証されていないリモートの攻撃者は情報窃取できる可能性がある(CVSSスコア: 9.1)

なお、次の2件の脆弱性は、詳細が一般公開されているとして注意が呼びかけられている。

CVE-2025-32702 - Visual Studioにコマンドインジェクションの脆弱性。認証されていないローカルの攻撃者はコードを実行できる可能性がある(CVSSスコア: 7.8)
CVE-2025-26685 - Microsoft Defender for Identityに不適切な認証の脆弱性。認証されていない隣接したネットワーク上の攻撃者は、スプーフィングできる可能性がある(CVSSスコア: 6.5)

ただちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftはユーザーおよび管理者に対して上記のセキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。